Con la recente sentenza n. 11020 del 26.04.2021 la Corte di Cassazione Sez. Civile ha dettato i principi da seguire nell’ambito dei ristori dei danni da violazione della legge sulla riservatezza.

La questione sorgeva dopo che l’avv. Tizio, già cancelliere presso il Tribunale (incarico poi cessato per dimissioni volontarie) proponeva ricorso ex art. 152, D.Lgs. n. 196 del 2003, finalizzato ad ottenere la condanna di Caia al risarcimento del danno non patrimoniale subito per l’illecita divulgazione, ad opera di costei, di dati personali (riguardanti il legale, suo ex dipendente) coperti da riservatezza.

Secondo l’attore, la violazione consisteva nella divulgazione dei dati sensibili riguardanti alcuni precedenti giudizi disciplinari promossi, nei suoi confronti, dalla convenuta – quale dirigente del Tribunale e sua superiore gerarchica – senza aver riferito del successivo annullamento delle sanzioni irrogate.

L’avv. Tizio contestava a Caia di aver tenuto una condotta orientata a pregiudicare la sua reputazione professionale proprio nel ristretto ambiente lavorativo in cui era recentemente entrato, quale abilitato all’esercizio della professione forense.

Il Tribunale accoglieva la domanda dell’avv. Tizio, condannando Caia al pagamento della somma richiesta a titolo di danno non patrimoniale, nonché al pagamento, d’ufficio, della somma di Euro 8.550,00, ex art. 96 c.p.c., comma 3.

Caia impugnava la sentenza in cassazione, eccependo che non doveva essere chiamata a giudizio in quanto l’azione giudiziaria ex art. 152, D.Lgs. n. 196 del 2003 avrebbe dovuto essere rivolta contro il titolare del trattamento dei dati, da individuarsi nel Presidente del Tribunale; ella aveva agito quale dirigente della cancelleria del Tribunale, rivestendo pertanto la diversa funzione di mero responsabile del trattamento.

Sul punto la Corte ha così deciso: “Il D.Lgs. n. 196 del 2003, art. 10, costituisce una norma sulla competenza e non sulla legittimazione passiva, in relazione alla quale deve, invece, farsi riferimento all’art. 15 comma 1 legge cit., secondo cui “chiunque cagiona danno per effetto del trattamento dei dati personali è tenuto al risarcimento dei danni ai sensi dell’art. 2050 c.c.”.
Pertanto, va affermato il principio di diritto, secondo cui, dei danni determinati dall’illecita divulgazione di dati personali, ai sensi del D.Lgs. n. 196 del 2003, art. 15, comma 1 (applicabile ratione temporis), deve rispondere chiunque, con la propria condotta, li abbia eziologicamente provocati, indipendentemente dalla qualifica rivestita, sia di titolare o sia di responsabile del trattamento dati.

Con altro motivo Caia impugnava la sentenza di primo grado esponendo che non era stata integrata la violazione dell’art. 15 codice della privacy, in quanto la divulgazione della notizia riservata era avvenuta non in un ambiente generico, caratterizzato dalla generalità indiscriminata delle persone, ma in un ambiente qualificato e deputato, per disposizione di legge, ad esercitare una funzione paragiurisdizionale, essendo il Consiglio dell’ordine degli Avvocati, in sede disciplinare, “giudice” del proprio iscritto.
Peraltro, l’aver enunciato l’esistenza di pregressi procedimenti disciplinari a carico di Tizio rientrava nell’esercizio del potere difensivo ex art. 24 Cost., esercitato da Caia.

Al riguardo la Corte ha respinto l’eccezione evidenziando che, in linea di principio, il trattamento delle informazioni personali effettuato nell’ambito di un esposto al Consiglio dell’Ordine degli Avvocati in relazione ad una asserita condotta deontologicamente scorretta posta in essere da un legale sia da considerarsi lecito solo se “avvenga nel rispetto del criterio di minimizzazione nell’uso dei dati personali, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. Tale principio era ben espresso dal D.Lgs. n. 196 del 2003, art. 3, recante il titolo “principio di necessità nel trattamento dei dati”, e dall’art. 11, lett. d) legge cit., richiedente la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati – tali articoli sono stati recentemente abrogati a seguito dell’entrata in vigore del D.Lgs. 10 agosto 2018, n. 101, – ed è stato recentemente riaffermato con l’entrata in vigore dell’art. 5, lett. c), del regolamento Europeo sulla protezione dei dati personali 2016/679. (…)

Quanto al diritto di difesa la corte ha ritenuto “non è ostativa all’integrazione della violazione dell’art. 15 codice della privacy la mera circostanza che la divulgazione della notizia riservata avvenga nel contesto di un procedimento di rilevanza pubblica, risultando comunque illecita la comunicazione dei dati personali non pertinente ed eccedente le finalità per cui essi sono raccolti e trattati. Nel caso di specie, tale principio è stato chiaramente violato e correttamente il giudice di primo grado lo ha evidenziato.

Inoltre la ricorrente contestava il fatto che non fosse stata raggiunta la prova del danno determinato dalla riferita esistenza di procedimenti disciplinari dalla stessa intentati, in quanto Tizio aveva potuto prontamente evidenziare al giudice che gli stessi procedimenti erano stati annullati. La stessa escludeva che la prova dell’esistenza e del quantum del danno potessero essere fornite rispettivamente in via presuntiva ed in via equitativa.

Al riguardo la Suprema Corte ha così ritenuto. “In ordine al risarcimento dei danni, va preliminarmente osservato che questa Corte (vedi Cass. n. 17383 del 20/08/2020) ha già enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile, ai sensi del D.Lgs. n. 196 del 2003, art. 15 (codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., da cui deriva (come intrinseco precipitato) quello di tolleranza della lesione minima, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito.
Deve, inoltre, rilevarsi che il danno alla privacy, pur non essendo, come ogni danno non patrimoniale, in “re ipsa”, non identificandosi il danno risarcibile con la lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione, può essere, tuttavia, provato anche attraverso presunzioni (vedi in materia di lesione del danno non patrimoniale dell’onore, Cass. n. 25420 del 26/10/2017, i cui principi, sotto il profilo della prova del danno, sono applicabili anche al caso in esame).
Nel caso di specie, il giudice di merito ha fatto un corretto uso di tale principi.
Il Tribunale di (…) ha avuto cura di verificare la “gravità della lesione” e la “serietà del danno”, evidenziando che la divulgazione di una pluralità di procedimenti disciplinari a carico dell’avv. (…) – “peraltro generica e dunque maggiormente offensiva in quanto allusiva (aperta a qualunque interpretazione soggettiva) “- era stata effettivamente dannosa, determinando conseguenze inevitabilmente negative, oltre che sulla sfera emotiva dell’odierno controricorrente (già provato da procedimenti disciplinati infondati), sulla sua immagine e sulla sua reputazione sociale nel ristretto ambiente lavorativo in cui era da breve tempo entrato (due anni).